Das Einführungsseminar ermöglicht einen fundierten Überblick über die Inhalte und die grundlegende Umsetzung der IT-Grundschutzmethodik des Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Rahmen der Schulung werden die Grundlagen und Ziele des Informationssicherheitsmanagements sowie die auf den BSI-Standards 200-x, 200-4 und dem Grundschutzkompendium der Ablauf der Sicherheitsprozesses inkl. der Risikoanalyse, der Einsatz von Grundschutzprofilen und die Vorbereitung auf ein Grundschutz-Audit thematisiert.

Das Seminar versetzt Sie in die Lage, die Aufgaben und Maßnahmen des eigenen internen Informationssicherheitsmanagements zu verstehen und deren Umsetzung zu unterstützen.

Seminarinhalte:

Einführung und Grundlagen der IT-Sicherheit und rechtliche Rahmenbedingungen

• Begriffe (Arten und Wichtigkeit von Informationen, Aspekte der Integrität, Verfügbarkeit, Vertraulichkeit usw.)
• Gesetzliche Grundlagen (BSIG [Gesetz über das Bundesamt für Sicherheit in der Informationstechnik], IT-SiG [IT-Sicherheitsgesetz] usw.)

Normen und Standards der Informationssicherheit

• Überblick, Zweck und Struktur über relevante Normen und Richtlinien z.B. ISO (International Organization for Standardization) 2700x, ISO 22301, usw.)
• Branchenspezifische Sicherheitsstandards

Einführung IT-Grundschutz

• IT-Grundschutz – Bestandteile
• Der Sicherheitsprozess
• Rollen, Verantwortung und Aufgaben (Leitung, Informationssicherheitsbeauftragte, ICS-Informationssicherheitsbeauftragte, Information-Management-Team usw.)
• Sicherheitskonzept
• Leitlinienkonzept

IT-Grundschutz-Vorgehensweise (Überblick)

• Leitfragen zur IT-Grundschutz-Absicherung
• Basis- und Standard-Anforderungen
• Anforderungen für den erhöhten Schutzbedarf

IT-Grundschutz-Kompendium (Überblick)

• Aufbau und Anwendung des Kompendiums
• Prozess-Bausteine
• System-Bausteine
• Umsetzungshinweise

Umsetzung der IT-Grundschutz-Vorgehensweise (Überblick)

• Strukturanalyse
• Geschäftsprozess und zugehörige Anwendungen sowie IT-Systeme, Räume erfassen
• Schutzbedarfskategorien, Vorgehen und Vererbung
• Modellierung gemäß IT-Grundschutz (Vorgehen, Dokumentation, Anforde-rungen anpassen)
• IT-Grundschutz-Check (Vorbereitung und Durchführung)

Risikoanalyse

• Die elementaren Gefährdungen sowie andere Gefährdungsübersichten
• Vorgehen bei der Risikobewertung und Risikobehandlung
• Beispiel für die Risikobewertung

Umsetzungsplanung

• Maßnahmenplan entwickeln und dokumentieren, Aufwand schätzen, Umsetzungsreihenfolge und Verantwortlichkeit bestimmen, begleitende Maßnahmen planen
• Aufwände schätzen

Monitoring und Überprüfung

• Leitfragen für die Überprüfung
• Kennzahlen
• Reifegradmodelle

IT-Grundschutz-Profile

• Aufbau eines Profils
• Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile
• Vorbereitung auf ein Audit
• Planung, Durchführung und Begleitung interner Audits
• Rollen und Verantwortlichkeiten im eigenen Verantwortungsbereich
• Umgang mit Nichtkonformitäten, Berichtswesen
• Zyklus eines Zertifizierungsaudits (Vor-Audit, Wiederholungsaudit, Überwa-chung, Korrekturmaßnahmen)

Business Continuity Management (Überblick)

• Überblick über den BSI-Standard 200-4
• Vorgehensweise zur Störfallbehandlung und Melde-/Eskalationswege
• Aufbau und Arbeit der besonderen Aufbauorganisation
• Von der Business-Impact-Analyse (BIA) bis zum Geschäftsfortführungsplan
• Bedeutung von Übungen und Tests

Zielgruppe:
Führungskräfte und jeder Interessierte, der über grundlegende Kenntnisse in Bezug auf den IT-Grundschutz verfügen möchte.

Voraussetzungen:
Keine oder rudimentäre Grundkenntnisse zum IT-Grundschutz